Архив форумов ЦИТФорума

[TechNoir]

Есть две подсети - 192.168.1.x/24 и 212.x.x.x/28
Необходимо сделать так чтобы из подсети 212.x.x.x/28 не было доступа в подсеть 192.168.1.x/24, а подсеть 192.168.1.x/24 свободно ходила в подсеть 212.x.x.x/28.

Это можно сделать так:
1. Открыть для подсети 192.168.1.x/24 порты >1024. Однако в этом случае существует опасность что на портах выше 1024 сидят какие-то важные службы и будет доступ к ним.
2. Для подсети 192.168.1.x/24 написать правила с использованием keepstate. Но мне как-то трудно затем разбираться в написанных правилах.

Какие еще варианты можно предложить в этой конфигурации?
Или по другому - Разрешить только исходящие соединения из подсети 192.168.1.x/24.
_________________
Vive la Russie!

[TechNoir]

Ну что, тут типа фрюшников нет?
_________________
Vive la Russie!

[else]

$fwcmd add allow tcp from 192.168.1.x/24 to any out xmit eth0 setup
$fwcmd add allow tcp from 192.168.1.x/24 to any established via eth0
$fwcmd add allow tcp from 192.168.1.x/24 to any keep-state via eth0
_________________
nothing else

[and3008]

А может проще замаскировать NAT-ом 192-ю сеть, а прохождение пакетов из сети 212 в сеть 192 запретить?

Правил меньше, скорость маршрутизации выше.

Думаю идея понятна?

[TechNoir]

2else
Ты написала все подряд.
Нужно использовать либо первые два правила либо последнее третье к которому нужно добавить еще check-state.
Если по-первому варианту, то эта беда относится только к tcp-траффику, а мне хотелось бы на все. Придется делать по второму варианту.

2and3008
Не знаю как там в iptables (насколько я знаю ты линуксоид), у нас в ipfw задается так называемый NATD_INTERFACE. Похоже что NATятся только пакеты через один интерфейс, в моем случае внешний.
Или хотя знаешь, лучше я это дело еще перечитаю, обмозгую, попробую.
Спасибо за умную идею!
_________________
Vive la Russie!

[else]

Почему только к tcp... какой укажешь, к такому и будет. Или я ошибаюсь?
_________________
nothing else

[TechNoir]

Боюсь что ошибаешься
_________________
Vive la Russie!

[else]

А если так?
ed0 - это 212
ed1 - 198
rc.conf
natd_enable="YES"
natd_interface="ed0"
gateway_enable = "YES"

add divert natd ip from 192.168.1.0/24 to any out via ed0
add divert natd ip from any to 212.x.x.1 in via ed0

дальше только отфильтровать прохождение пакетов из сети 212
add dany all from any to any via ed1
_________________
nothing else

[TechNoir]

Беда в том что есть еще третий интерфейс, который смотрит в инет, он то и есть тот самый NATD_INTERFACE
_________________
Vive la Russie!

[else]

Ё =)
Ну тогда наверное лучше всего наверное будет первые два правила которые я писала для тсп + разрешить какой-то еще трафик типа udp 53 строго по мере необходимости из 192 в 212 и тем и ограничится.
_________________
nothing else

[TechNoir]

Будем пробовать
_________________
Vive la Russie!